نبذة حول محتوى أمان macOS Sierra 10.12.1، وتحديث الأمان ‎2016-002 El Capitan، وتحديث الأمان ‎2016-006 Yosemite

يتناول هذا المحتوى محتوى أمان نظام التشغيل macOS Sierra 10.12.1، وتحديث الأمان ‎2016-002 El Capitan، وتحديث الأمان ‎2016-006 Yosemite.

معلومات حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشكلات الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتمّ إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير اتصالاتك مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

نظام التشغيل macOS Sierra 10.12.1، وتحديث الأمان ‎2016-002 El Capitan، وتحديث الأمان ‎2016-006 Yosemite

AppleGraphicsControl

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام OS X El Capitan

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الفحص المُحسن لحالة القفل.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قم يقوم ملف تنفيذي موقّع باستبدال التعليمة البرمجية بنفس معرّف الفريق

الوصف: وجود مشكلة تحقق من الصحة في معالجة توقيعات التعليمة البرمجية. تمت معالجة هذه المشكلة عبر التحقق الإضافي من الصحة.

CVE-2016-7584‏: Mark Mentovai وBoris Vidolov من Google Inc.

AppleSMC

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكن مستخدم محلي من رفع الامتيازات

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال القفل المحسَّن.

CVE-2016-4678: daybreaker@Minionz يعمل مع مبادرة Zero Day Initiative من Trend Micro

ATS

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4667‏: Simon Huang من alipay، وThelongestusernameofall@gmail.com، وMoony Li من TrendMicro، و@Flyic

ATS

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات إضافية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4674: Shrek_wzw من فريق Qihoo 360 Nirvan Team

CFNetwork Proxies

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة

الوصف: وجدت مشكلة تتعلق بالتصيد الاحتيالي أثناء معالجة بيانات اعتماد الوكيل. تمت معالجة المشكلة من خلال إزالة المطالبات غير المرغوب فيها لمصادقة كلمة مرور الوكيل.

CVE-2016-7579‏: Jerry Decime

Core Image

متوفر لما يلي: الإصدار 10.11.6 من نظام التشغيل OS X El Capitan

التأثير: قد يؤدي عرض ملف JPEG متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-4681: Ke Liu من Tencent's Xuanwu Lab

CoreGraphics

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يؤدي عرض ملف JPEG متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4673‏: Marco Grassi‏ (@marcograss) من KeenLab (@keen_lab)، Tencent

FaceTime

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكن مخترق يتمتع بموقع مميز في الشبكة من التسبب في استمرار نقل صوت مكالمة مُرحّلة مع الظهور كما لو كانت المكاملة قد انتهت

الوصف: وجدت حالات عدم اتساق في واجهة المستخدم أثناء معالجة المكالمات المرحّلة. تمت معالجة هذه المشكلة من خلال منطق محسّن للبروتوكول.

CVE-2016-7577‏: Martin Vigo‏ (@martin_vigo) من salesforce.com

FontParser

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يؤدي تحليل خط متطفل إلى الكشف عن معلومات مستخدم حساسة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2016-4660: Ke Liu من Tencent's Xuanwu Lab

FontParser

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2016-4688‏: Simon Huang من شركة Alipay، thelongestusernameofall@gmail.com

IDS - الاتصال

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكن مخترق يتمتع بموضع ذي امتياز في الشبكة من خداع مستخدم في مكالمة جماعية للاعتقاد بأنه يتحدث إلى الطرف الآخر

الوصف: وجدت مشكلة انتحال هوية أثناء معالجة تبديل المكالمات. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لإشعارات "تبديل المتصل".

CVE-2016-4721‏: Martin Vigo‏ (@martin_vigo) من salesforce.com

ImageIO

متوفر لما يلي: الإصدار 10.11.6 من نظام التشغيل OS X El Capitan

التأثير: قد يؤدي تحليل PDF متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2016-4671: Ke Liu من Tencent's Xuanwu Lab، Juwei Lin (@fuzzerDOTcn)

ImageIO

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام OS X El Capitan

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة العملية

الوصف: وجدت مشكلة تتعلق بالقراءة غير المسموح بها في تحليل صور SGI. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2016-4682: Ke Liu من Tencent's Xuanwu Lab

ImageIO

متوفر لما يلي: الإصدار 10.11.6 من نظام التشغيل OS X El Capitan

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: وجود مشاكل متعددة خاصة بالقراءة والكتابة غير المسموح بهما في تحليل SGI. تمت معالجة هذه المشكلات من خلال التحقق المحسن من صحة الإدخال.

CVE-2016-4683: Ke Liu من Tencent’s Xuanwu Lab

Kernel

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: يُمكن لمستخدم محلي التسبب في إنهاء غير متوقع للنظام أو تنفيذ تعليمة برمجية عشوائية في kernel

الوصف: وجدت مشكلات متعددة تتعلق بالتحقق من صحة الإدخال في التعليمة البرمجية المنشأة من MIG. تمت معالجة هذه المشكلات من خلال التحقق المحسن.

CVE-2016-4669‏: Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن تطبيق محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: وجدت مشكلات متعددة تتعلق بعمر الكائن أثناء إنتاج عمليات جديدة. تمت معالجة هذه المشكلات من خلال التحقق المحسن.

CVE-2016-7613‏: Ian Beer من Google Project Zero

libarchive

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن أرشيف ضار من استبدال الملفات العشوائية

الوصف: وجدت مشكلة في منطق التحقق من صحة المسار للروابط الرمزية. تمت معالجة هذه المشكلة من خلال الإبراء المحسّن للمسار.

CVE-2016-4679‏: Omer Medan من enSilo Ltd

libxpc

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة مشكلة منطق من خلال فرض قيود إضافية.

CVE-2016-4675‏: Ian Beer من Google Project Zero

ntfs

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة

الوصف: وجود مشكلة في تحليل صور القرص. تمت معالجة هذه المشكلة من خلال التحقق المحسّن.

CVE-2016-4661: Recurity Labs نيابة عن BSI ‏(المكتب الفيدرالي الألماني لأمن المعلومات)

برامج تشغيل الرسومات NVIDIA

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام OS X El Capitan

التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-4663: Apple

الأمان

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: يمكن لمخترق محلي مراقبة طول كلمة مرور تسجيل الدخول عند قيام مستخدم بتسجيل الدخول

الوصف: وجدت مشكلة تتعلق بتسجيل الدخول أثناء معالجة كلمات المرور. تمت معالجة المشكلة من خلال إزالة تسجيل طول كلمة المرور.

CVE-2016-4670‏: Daniel Jalkut من Red Sweater Software

Thunderbolt

متوفر لما يلي: الإصدار 10.12 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.

CVE-2016-4780‏: sweetchip من Grayhash